Zend Framework 2参考Zend\Authentication(Zend\Authentication介绍)
原文:Zend Framework 2参考Zend\Authentication(Zend\Authentication介绍)
Zend\Authentication
组件提供了认证接口和具体的通用的认证适配器。Zend\Authentication
所关注的是认证通过和不通过,认证被宽松地定义为确定一个实体是否确实是它所声称(例如,身份),基于一些组凭据。授权是一个过程,决定是否允许访问的实体,或执行操作时,其它实体在Zend\Authentication
范围之外。欲了解Zend Framework授权和访问控制更多信息,请关注Zend\Permissions\Acl 和Zend\Permissions\Rbac 组件。
注意:并没有
Zend\Authentication\Authentication
class,而是由Zend\Authentication\AuthenticationService
提供,这个类的内部使用底层的认证适配器和持久性存储。
Adapters
Zend\Authentication
适配器是用来一个特定类型进行身份验证的服务,例如LDAP, RDBMS或文件。不同的适配器可能有不同的选项和行为,但都是认证适配器。例如,接受认证证书(包括身份声明),依靠认证服务执行查询,并返回结果是Zend\Authentication
适配器共同特征。
每个Zend\Authentication
适配器都实现自Zend\Authentication\Adapter\AdapterInterface
接口,这个接口定义了方法authenticate()
,一个适配器类必须实现认证查询。每个适配器类调用之前必须先准备好authenticate()
。这样适配器准备包括设置证书(例如,用户名和密码)和特定于适配器的配置选项,如数据库连接设置一个数据库表适配器的定义值。
下面是一个认证适配器的例子,需要一个用户名和密码为认证设置。其他的细节,比如如何查询认证服务,已为简洁起见省略:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
|
use Zend\Authentication\Adapter\AdapterInterface; class My\Auth\Adapter implements AdapterInterface { /** * Sets username and password for authentication * * @return void */ public function __construct( $username , $password ) { // ... } /** * Performs an authentication attempt * * @return \Zend\Authentication\Result * @throws \Zend\Authentication\Adapter\Exception\ExceptionInterface * If authentication cannot be performed */ public function authenticate() { // ... } } |
正如上面所示,authenticate()
必须返回的Zend\Authentication\Result
中(或从Zend\Authentication\Result
派生的类)的一个实例。如果出于某种原因进行认证查询是不可能的,authenticate()
应该抛出一个派生自Zend\Authentication\Adapter\Exception\ExceptionInterface
的异常。
Results
Zend\Authentication
适配器的返回一个Zend\Authentication\Result
实例,以表示一个认证尝试的结果。适配器构造Zend\Authentication\Result
对象后,提供了4个基本的方法:
isValid()
如果认证成功返回true
getCode()
返回Zend\Authentication\Result
常量用来确定类型的身份验证失败或成功是否已经发生。这可以用若干认证结果类型的开发者希望区别的情况下。这将允许开发者维护详细的认证结果统计,例如。此功能的另一个用途是提供特定的,定制的信息给用户可用性的原因,虽然开发商被鼓励去考虑提供这样详细的原因给用户,而不是一个一般的认证失败消息的风险。欲了解更多信息,请参见下面的注释。getIdentity()
返回认证后的身份getMessages()
返回认证尝试失败的消息数组
开发者可能希望根据认证结果的类型分支,以执行更具体的操作。开发人员可能会发现有用的一些操作太多的不成功的密码尝试后锁定账户,太多不存在的身份尝试后标记IP地址,并提供专用的,定制的认证结果信息给用户。下面的结果代码可供选择:
1
2
3
4
5
6
7
8
|
use Zend\Authentication\Result; Result::SUCCESS Result::FAILURE Result::FAILURE_IDENTITY_NOT_FOUND Result::FAILURE_IDENTITY_AMBIGUOUS Result::FAILURE_CREDENTIAL_INVALID Result::FAILURE_UNCATEGORIZED |
下面的例子说明了开发人员如何可能的结果代码分支:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
|
// inside of AuthController / loginAction $result = $this ->auth->authenticate( $adapter ); switch ( $result ->getCode()) { case Result::FAILURE_IDENTITY_NOT_FOUND: /** do stuff for nonexistent identity **/ break ; case Result::FAILURE_CREDENTIAL_INVALID: /** do stuff for invalid credential **/ break ; case Result::SUCCESS: /** do stuff for successful authentication **/ break ; default : /** do stuff for other failure **/ break ; } |
身份持久存储(Identity Persistence)
验证请求包含认证证书本身是有用的,但它也是重要的是要维护已认证的身份,而无需出示认证证书,每个请求。
HTTP是一个无状态的协议,然而,为了方便在服务器端Web应用程序跨多个请求维护状态,已经开发技术,如cookie和session。
默认的php session持久存储
Zend\Authentication
提供了成功认证后默认的持久性存储的身份PHP的session。成功认证后,Zend\Authentication\AuthenticationService::authenticate()
将认证后的身份存储到持久存储器。除非另有配置,Zend\Authentication\AuthenticationService
默认使用Zend\Authentication\Storage\Session
持久存储器,它反来使用了Zend\Session
。你也可以用Zend\Authentication\AuthenticationService::setStorage()
自定义一个对象只需要实现Zend\Authentication\Storage\StorageInterface
接口。
注意:如果持久存储的身份不适合特定的用例,然后,开发人员可能会忘记使直接使用适配器类替代
Zend\Authentication\AuthenticationService
修改session的命名空间
Zend\Authentication\Storage\Session
使用的命名空间名是Zend_Auth
,可以通过Zend\Authentication\Storage\Session
构造方法传递不同的值来覆盖这个命名空间名,这个值从内部传递给Zend\Session\Container
构造方法。这个操作得在尝试认证Zend\Authentication\AuthenticationService::authenticate()
执行自动身份存储之前。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
|
use Zend\Authentication\AuthenticationService; use Zend\Authentication\Storage\Session as SessionStorage; $auth = new AuthenticationService(); // Use 'someNamespace' instead of 'Zend_Auth' $auth ->setStorage( new SessionStorage( 'someNamespace' )); /** * @todo Set up the auth adapter, $authAdapter */ // Authenticate, saving the result, and persisting the identity on // success $result = $auth ->authenticate( $authAdapter ); |
链式存储(Chain Storage)
一个网站可能有多个存储,Chain
存储很好的把他们链接在一起。
例如:Chain
可以配置为先使用Session
存储,然后使用OAuth
存储,可能的配置代码如下:
1
2
3
|
$storage = new Chain; $storage ->add( new Session); $storage ->add( new OAuth); // Note: imaginary storage, not part of ZF2 |
现在,如果Chain
存储访问其底层存储访问的顺序,它们被添加到链。因此,首先使用的是Session
存储使用。现在无论怎样都是:
Session
存储非空的话,Chain
将使用它的内容- 如果
Session
为空,OAuth
存储将被访问- 如果也是空的话,那么链式存储也为空
- 只要其中一个非空的
Chain
,就将使用其内容。然而,它们也有各自的优先级。因此Session
存储的也可能是Oauth
存储的内容。
其实使用Chain::add
方法可以设置存储的优先级的:
1
2
|
$chain ->add( new A, 2); $chain ->add( new B, 10); // First use B |
实现自定义存储
Zend\Authentication\Storage\Session
为开发人提供了不同机制身份存储,对于这样的情况下,开发人员可以简单地实现Zend\Authentication\Storage\StorageInterface
接口和提供实例给Zend\Authentication\AuthenticationService::setStorage()
。
使用自定义存储类
为了使用Zend\Authentication\Storage\Session
以外的身份持久存储,开发者需要实现Zend\Authentication\Storage\StorageInterface
接口:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
|
use Zend\Authentication\Storage\StorageInterface; class My\Storage implements StorageInterface { /** * Returns true if and only if storage is empty * * @throws \Zend\Authentication\Exception\ExceptionInterface * If it is impossible to * determine whether storage is empty * @return boolean */ public function isEmpty() { /** * @todo implementation */ } /** * Returns the contents of storage * * Behavior is undefined when storage is empty. * * @throws \Zend\Authentication\Exception\ExceptionInterface * If reading contents from storage is impossible * @return mixed */ public function read() { /** * @todo implementation */ } /** * Writes $contents to storage * * @param mixed $contents * @throws \Zend\Authentication\Exception\ExceptionInterface * If writing $contents to storage is impossible * @return void */ public function write( $contents ) { /** * @todo implementation */ } /** * Clears contents from storage * * @throws \Zend\Authentication\Exception\ExceptionInterface * If clearing contents from storage is impossible * @return void */ public function clear() { /** * @todo implementation */ } } |
为了使用这个存储类,需要在认证查询尝试之前调用Zend\Authentication\AuthenticationService::setStorage()
进行存储类的设置:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
|
use Zend\Authentication\AuthenticationService; // Instruct AuthenticationService to use the custom storage class $auth = new AuthenticationService(); $auth ->setStorage( new My\Storage()); /** * @todo Set up the auth adapter, $authAdapter */ // Authenticate, saving the result, and persisting the identity on // success $result = $auth ->authenticate( $authAdapter ); |
使用方法
两种方法可以使用Zend\Authentication
:
- 通过
Zend\Authentication\AuthenticationService::authenticate()
间接使用 - 直接通过适配器使用
authenticate()
下面例子介绍如何通过类Zend\Authentication\AuthenticationService
间接使用Zend\Authentication
适配器:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
|
use Zend\Authentication\AuthenticationService; // instantiate the authentication service $auth = new AuthenticationService(); // Set up the authentication adapter $authAdapter = new My\Auth\Adapter( $username , $password ); // Attempt authentication, saving the result $result = $auth ->authenticate( $authAdapter ); if (! $result ->isValid()) { // Authentication failed; print the reasons why foreach ( $result ->getMessages() as $message ) { echo "$message\n" ; } } else { // Authentication succeeded; the identity ($username) is stored // in the session // $result->getIdentity() === $auth->getIdentity() // $result->getIdentity() === $username } |
一旦认证已经尝试在一个请求,在上面的例子中,它是一个简单的事情,以检查是否存在成功验证的身份:
1
2
3
4
5
6
7
8
9
10
11
12
|
use Zend\Authentication\AuthenticationService; $auth = new AuthenticationService(); /** * @todo Set up the auth adapter, $authAdapter */ if ( $auth ->hasIdentity()) { // Identity exists; get it $identity = $auth ->getIdentity(); } |
要从持久性存储删除身份,简单的使用clearIdentity()
方法就好,这通常会被用于应用中的“登出”操作。
1
|
$auth ->clearIdentity(); |
简单的使用Zend\Authentication\AuthenticationService
对于个别项目是不适合的,这个时候需要直接使用适配器类,直接使用适配器类需要配置和准备适配器对象,然后调用其authenticate()
方法。适配器的具体细节在各自的文档中进行了说明。下面的例子直接利用My\Auth\Adapter
:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
|
// Set up the authentication adapter $authAdapter = new My\Auth\Adapter( $username , $password ); // Attempt authentication, saving the result $result = $authAdapter ->authenticate(); if (! $result ->isValid()) { // Authentication failed; print the reasons why foreach ( $result ->getMessages() as $message ) { echo "$message\n" ; } } else { // Authentication succeeded // $result->getIdentity() === $username }
|